このトラブルシューティング ガイドは、Cloud Interconnect で発生する可能性のある一般的な問題を解決する際に役立ちます。
- 一般的なトラブルシューティング
- Dedicated Interconnect
- Partner Interconnect
- Cloud Interconnect を介した HA VPN
- Cloud Interconnect の MACsec
- クラウド間相互接続
Cloud Interconnect のアーキテクチャと機能に関する一般的な質問とその回答については、Cloud Interconnect に関するよくある質問をご覧ください。
このページで使用している用語の定義については、Cloud Interconnect の主な用語をご覧ください。
ロギングとモニタリングの情報を確認し、Cloud Interconnect の指標を表示するには、接続のモニタリングをご覧ください。
一般的なトラブルシューティング
Cloud Interconnect サービスの中断を確認する
既知の中断は、Google Cloud ステータス ダッシュボードで確認できます。また Cloud インシデントの JSON フィードや RSS フィードの受信登録をして、更新情報をプッシュ通知で入手することもできます。
Dedicated Interconnect 接続に影響するメンテナンス イベントが通知されます。詳細については、インフラストラクチャ メンテナンス イベントをご覧ください。
Partner Interconnect の VLAN アタッチメントに影響するメンテナンス イベントが通知されます。Partner Interconnect の通知は、Dedicated Interconnect 接続の通知と同様の方法で送信されますが、わずかな違いがあります。詳細については、インフラストラクチャ メンテナンス イベントをご覧ください。
他のリージョンのリソースに接続できない
デフォルトでは、Virtual Private Cloud(VPC)ネットワークはリージョン限定であるため、Cloud Router はそのリージョンのサブネットのみをアドバタイズします。他のリージョンに接続するには、VPC ネットワークの動的ルーティング モードをグローバルに設定し、Cloud Router がすべてのサブネットをアドバタイズできるようにします。
詳細については、Cloud Router のドキュメントの動的ルーティング モードをご覧ください。
ピアリングされた VPC ネットワーク内の VM に到達できない
このシナリオでは、オンプレミス ネットワークと VPC ネットワーク「ネットワーク A」間に Cloud Interconnect 接続を設定しています。また、「ネットワーク A」と別の VPC ネットワーク「ネットワーク B」の間に VPC ネットワーク ピアリングを設定しています。オンプレミス ネットワークから 「ネットワーク B」の VM にアクセスすることはできません。
VPC ネットワーク ピアリングの概要の制限事項で説明されているように、この構成はサポートされていません。
ただし、ピア ネットワーク内の宛先へのルートを共有するために、VPC ネットワーク内の Cloud Router からのカスタム IP 範囲のアドバタイズを使用することはできます。また、カスタムルートをインポートおよびエクスポートするように、VPC ネットワーク ピアリング接続を構成する必要があります。
オンプレミス ネットワークと VPC ピアリング ネットワーク間のルート アドバタイジングの詳細については、次のリソースをご覧ください。
- カスタム IP 範囲のアドバタイジング
- VPC ネットワーク ピアリングの使用におけるトラブルシューティング
接続でサブネットが欠落している
利用可能なサブネットのすべてをアドバタイズするには、カスタム アドバタイズ ルートを使用して欠落しているルートを指定し、グローバル動的ルーティングを使用して、リージョン間のすべてのサブネット ルートをアドバタイズします。その手順は次のとおりです。
Cloud Router と Border Gateway Protocol(BGP)セッションの両方でカスタム アドバタイズ ルートを指定します。
欠落しているルートを入力するには、次のパラメータを設定します。
--set-advertisement-groups = ADVERTISED_GROUPS --set-advertisement-ranges = ADVERTISED_IP_RANGES
次のように置き換えます。
ADVERTISED_GROUPS
: Cloud Router が動的にアドバタイズする Google 定義のグループ。値をall_subnets
にすると、Cloud Router のデフォルトの動作を再現できます。ADVERTISED_IP_RANGES
: IP アドレス範囲の新しい配列の内容。任意の値を 1 つ以上含めることができます
詳細と例については、カスタム IP 範囲のアドバタイズをご覧ください。
グローバル動的ルーティング モードを有効にします。
Cloud Router に ping できない
オンプレミス ルーターから Cloud Router に ping できない場合は、次の表でプロダクトを探して、そのプロダクトのトラブルシューティング手順を実施してください。VM は 169.254.0.0/16
にアクセスできません。
実施するトラブルシューティングの手順 | Dedicated Interconnect | L3 パートナーとの Partner Interconnect | L2 パートナーとの Partner Interconnect |
---|---|---|---|
Partner Interconnect の場合、一部のパートナーが Cloud Router の IP 範囲(169.254.0.0/16 )へのトラフィックをフィルタリングするため、Cloud Router が ping されないことがあります。L3 パートナーの場合、パートナーが自動的に BGP を構成します。BGP が起動しない場合は、パートナーにお問い合わせください。 |
該当なし | ○ | 該当なし |
ローカル デバイスが Google Cloud 側の接続の正しい MAC アドレスを学習していることを確認します。詳細については、ARP のトラブルシューティングをご覧ください。 | ○ | 該当なし | 該当なし |
Cloud Router にインターフェースと BGP ピアがあることを確認します。リモート ASN を含め、インターフェースと BGP ピアが完全に構成されない限り、Cloud Router に ping できません。
|
○ | 該当なし | ○ |
ARP のトラブルシューティング
Dedicated Interconnect で正しい MAC アドレスを検出するには、次の gcloud
コマンドを実行します。
gcloud compute interconnects get-diagnostics INTERCONNECT_NAME
googleSystemID
には、Cloud Router に割り当てられている IP アドレスに対して、デバイスの ARP テーブルに含まれているべき MAC アドレスが含まれています。
result: links: — circuitId: SAMPLE-0 googleDemarc: sample-local-demarc-0 lacpStatus: googleSystemId: '' neighborSystemId: '' state: DETACHED receivingOpticalPower: value: 0.0 transmittingOpticalPower: value: 0.0 macAddress: 00:00:00:00:00:00
デバイスが MAC アドレスを学習していない場合は、正しい VLAN ID と IP アドレスがサブインターフェースに構成されていることを確認してください。
Partner Interconnect で、デバイスに誤った MAC アドレスが表示される場合は、2 つの VLAN アタッチメントのレイヤ 2 セグメントをブリッジしていないことを確認してください。Google Cloud 側の Cloud Interconnect 接続は ip proxy-arp で構成されています。これはすべての ARP リクエストに応答するため、オンプレミス ルーターが誤った ARP エントリを学習する可能性があります。
VLAN アタッチメントを作成できない
組織のポリシーに違反する Dedicated Interconnect 用または Partner Interconnect 用の VLAN アタッチメントを作成しようとすると、エラー メッセージが表示されます。gcloud compute interconnects attachments partner create
を実行した場合のエラー メッセージの例を次に示します。
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
詳細については、Cloud Interconnect の使用を制限するとカスタムの組織のポリシーを使用するを参照し、組織の管理者にお問い合わせください。
組織内の他のプロジェクトと接続を共有する
ホスト プロジェクト内で VLAN アタッチメントや Dedicated Interconnect 接続などの接続を共有するには、共有 VPC を使用します。
共有 VPC ネットワークの設定の詳細については、共有 VPC のプロビジョニングをご覧ください。
共有 VPC ネットワーク内でのアタッチメントの構成の詳細については、複数の VPC ネットワークに接続するためのオプションをご覧ください。
Dedicated Interconnect
接続のプロビジョニング プロセス中に Google が ping できない
IP と LACP の構成が正しいことを確認してください。マルチリンク バンドルと単一リンクバンドルのどちらを注文したかに応じて、Google はテストプロセス中にオンプレミス ルーター用の異なるテスト IP 構成を送信します。いずれのテストでも VLAN アタッチメントは構成しないでください。
マルチリンク バンドルの場合
- Google が送信する IP アドレスの最初のセットは、各リンクのマルチ回線接続をテストするためのものです。Google が送信したメールの指示に従って、すべての物理リンクにテスト IP アドレスを構成します(LACP は構成しません)。この最初のテストに合格するには、Google からそれらすべての IP アドレスへの ping が成功する必要があります。
- 2 番目のテストを行うため、最初のテストからすべての IP アドレスを削除します。相互接続にリンクが 1 つしかない場合でも、LACP を使用してポートチャネルを構成します。Google がポートチャネルのアドレスを ping します。接続に対する最終テストに合格した後、ポートチャネルの LACP 構成を変更しないでください。ただし、テスト用の IP アドレスはポートチャネル インターフェースから削除する必要があります。
単一リンクバンドルの場合
- Google は、単一回線接続をテストするために、最終的な本番環境 IP アドレスを送信します。Google が送信したメールの指示に従って、バンドル インターフェースに IP アドレスを構成します(LACP はアクティブ モードまたはパッシブモードに構成します)。このテストに合格するには、Google からバンドル インターフェース IP アドレスへの ping が成功する必要があります。相互接続にリンクが 1 つしかない場合でも、LACP を使用してポートチャネルを構成します。
Cloud Router に ping できない
- Google のポートチャネルの IP アドレスを ping できることを確認します。この IP アドレスは、接続の詳細を表示させたときの
googleIpAddress
の値です。 - オンプレミス ルーターのサブインターフェースに正しい VLAN があることを確認します。VLAN の情報が VLAN アタッチメントによって提供される情報と一致している必要があります。
- オンプレミス ルーターのサブインターフェースに適切な IP アドレスが設定されていることを確認します。VLAN アタッチメントを作成すると、リンクのローカル IP アドレスのペアが割り振られます。1 つは Cloud Router のインターフェース用(
cloudRouterIpAddress
)で、もう 1 つはオンプレミス ルーターのポートチャネルのサブインターフェース用であり、ポートチャネル自体(customerRouterIpAddress
)ではありません。 - VLAN アタッチメントのパフォーマンスをテストする場合は、Cloud Router に ping しないでください。代わりに、VPC ネットワークに Compute Engine 仮想マシン(VM)インスタンスを作成して使用します。詳細については、パフォーマンス テストをご覧ください。
BGP セッションが動作しない
- 少なくとも 2 つのホップでオンプレミス ルーターのマルチホップ BGP を有効にします。
- オンプレミス ルーターに正しいネイバー IP アドレスが構成されていることを確認します。VLAN アタッチメントによって割り振られた BGP ピア IP アドレス(
cloudRouterIpAddress
)を使用します。 - オンプレミス ルーターのローカル ASN 構成が Cloud Router のピア ASN と一致していることを確認します。また、Cloud Router のローカル ASN 構成がオンプレミス ルーターのピア ASN と一致していることも確認します。
各アタッチメントには、VPC ネットワーク内の
169.254.0.0/16
から固有の /29 CIDR が割り当てられます。Cloud Router には /29 CIDR の 1 つの IP アドレスが割り振られ、オンプレミス ルーターにはもう 1 つの IP アドレスが割り振られます。オンプレミス ルーター インターフェースとその BGP ネイバーに正しい IP アドレスが割り振られていることを確認します。よくある間違いは、オンプレミス ルーター インターフェースで /29 ではなく /30 を構成することです。/29 CIDR 内の他のすべてのアドレスは Google Cloud によって予約されています。
ルーターの VLAN アタッチメント インターフェースに、この CIDR からの他の IP アドレスが割り振られていないことを確認します。
VPC ネットワーク内の VM に到達できない
- ポートチャネルと VLAN アタッチメントを ping できることを確認します。
- BGP セッションがアクティブであることを確認します。
- オンプレミス ルーターがアドバタイズしてルートを受信していることを確認します。
- オンプレミスのルート アドバタイズと Google Cloud のネットワーク範囲が重複していないことを確認します。
- オンプレミス ルーター、VPC、VLAN アタッチメントの MTU サイズを同じ値に設定します。
IPv6 トラフィックが VLAN アタッチメントを通過しない
IPv6 ホストに接続する際に問題が発生した場合は、次のようにします。
- IPv6 ルートが正しくアドバタイズされていることを確認します。IPv6 ルートがアドバタイズされていない場合は、BGP ルートとルート選択のトラブルシューティングをご覧ください。
- ファイアウォール ルールを調べて、IPv6 トラフィックを許可していることを確認します。
- VPC ネットワークとオンプレミス ネットワークで IPv6 サブネット範囲が重複していないことを確認します。重複するサブネットの範囲を確認するをご覧ください。
- Cloud Router で学習したルートの割り当てや上限を超過していないかどうかを判断します。学習したルートの割り当てを超過すると、IPv4 接頭辞の前に IPv6 接頭辞がドロップされます。割り当てと上限を確認するをご覧ください。
IPv6 構成に関連するすべてのコンポーネントが正しく構成されていることを確認します。
- VPC ネットワークで、
--enable-ula-internal-ipv6
フラグを指定した内部 IPv6 アドレスの使用が有効になっている。 - VPC サブネットが、
IPV4_IPV6
スタックタイプを使用するように構成されている。 - VPC サブネットの
--ipv6-access-type
がINTERNAL
に設定されている。 - サブネット上の Compute Engine VM が IPv6 アドレスで構成されている。
- VLAN アタッチメントが
IPV4_IPV6
スタックタイプを使用するように構成されている。 BGP ピアで IPv6 が有効であり、BGP セッションに正しい IPv6 ネクストホップ アドレスが構成されている。
- Cloud Router のステータスとルートを表示するには、Cloud Router のステータスとルートの表示をご覧ください。
- BGP セッション構成を表示するには、BGP セッション構成の表示をご覧ください。
- VPC ネットワークで、
デュアル スタック(IPv4 と IPv6)で VLAN アタッチメントを作成できない
IPv4 と IPv6(デュアル スタック)のスタックタイプで VLAN アタッチメントを作成すると、次のエラー メッセージが表示されます。
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
問題を解決するには:
Dataplane v2 でのアタッチメントの作成をサポートしているリージョンについては、すべてのコロケーション施設の表をご覧ください。
リージョンがリストにない場合は、サポートされているリージョンにアタッチメントを再作成します。
デュアル スタック(IPv4 と IPv6)を使用するように既存の VLAN アタッチメントを変更できない
IPv4 と IPv6(デュアル スタック)のスタックタイプを使用するように既存の VLAN アタッチメントを更新すると、次のエラー メッセージが表示されます。
Cannot create a dual stack interconnect attachment. Dual stack attachment can only be used with a provisioned interconnect attachments that have Dataplane version 2.
問題を解決するには:
アタッチメントの Dataplane バージョンを確認し、アタッチメントが Dataplane バージョン 1 を使用していることを確認します。アタッチメントの Dataplane バージョンを確認するをご覧ください。
Dataplane v2 での新しいアタッチメントの作成がサポートされているリージョンに、アタッチメントを再作成します。リージョンの一覧については、すべてのコロケーション施設をご覧ください。
VLAN アタッチメント経由のパフォーマンス テスト
VLAN アタッチメントのパフォーマンスをテストする必要がある場合は、VPC ネットワークで VM を使用します。必要なパフォーマンス ツールを VM に追加します。ICMP ping やパス MTU などのレイテンシをテストするために、Cloud Router のリンクのローカル IP アドレスは使用しないでください。Cloud Router を使用すると、予期しない結果が生じる可能性があります。
診断の取得
Dedicated Interconnect 接続の Google Cloud 側に関する最新の詳細な技術情報をオンデマンドで取得するには、診断の取得をご覧ください。
Partner Interconnect
BGP セッションが動作しない(レイヤ 2 接続)
- オンプレミス ルーターに Cloud Router への BGP セッションが構成されていることを確認します。詳細については、Partner Interconnect 用のオンプレミス ルーターの構成をご覧ください。
- 少なくとも 2 つのホップでオンプレミス ルーターのマルチホップ BGP を有効にします。
- オンプレミス ルーターに正しいネイバー IP アドレスが構成されていることを確認します。VLAN アタッチメントによって割り振られた BGP ピア IP アドレス(
cloudRouterIpAddress
)を使用します。 - オンプレミス ルーターのローカル ASN 構成が Cloud Router のピア ASN(
16550
)と一致していることを確認します。また、Cloud Router のローカル ASN 構成がオンプレミス ルーターのピア ASN と一致していることも確認します。
BGP セッションが動作しない(レイヤ 3 接続)
- Cloud Router に、サービス プロバイダの ASN を構成する必要があります。詳しくは、サービス プロバイダにお問い合わせください。
Partner Interconnect 接続の VLAN アタッチメントのダウン
Google Cloud の構成と Partner Interconnect 接続に問題がない場合でも、VLAN アタッチメントのステータスがダウンと表示されることがあります。
オンプレミス ルーターで EBGP マルチホップが 4 つ以上ホップできるように構成されていることを確認してください。オンプレミス ルーターの構成例をご覧ください。
Partner Interconnect 接続のペアリングキー設定の問題
Partner Interconnect 接続を設定しようとすると、「Google - Provider status not available」などのエラー メッセージが表示されることがあります。この問題を解決するには次の手順を行います。
ペアリングキーがお客様側の VLAN アタッチメント(
PARTNER
タイプ)で生成されていることを確認します。このキーは、Google がアタッチメントの識別に使用する長いランダムな文字列です。ペアリングキーでは、宛先の Google Cloud リージョンとエッジ アベイラビリティ ドメインが次の形式でエンコードされます。<random_string>/<region_name>/<domain>
VLAN アタッチメントが特定のドメインに限定されていない場合、またはエッジ アベイラビリティ ドメインを指定しない場合、
domain
フィールドにany
という文字列が含まれます。ペアリングキーの詳細については、ペアリングキーをご覧ください。Partner Interconnect 接続のエッジ アベイラビリティ ドメインが、ペアリングキーで指定されたドメインと一致することを確認します。
Cloud Router に ping できない(レイヤ 2 接続)
- オンプレミス ルーターのサブインターフェースに正しい VLAN アタッチメントがあることを確認します。VLAN アタッチメントの情報は、サービス プロバイダが提供する情報と一致している必要があります。
- オンプレミス ルーターのサブインターフェースに適切な IP アドレスが設定されていることを確認します。サービス プロバイダが VLAN アタッチメントを構成した後、アタッチメントによってリンクのローカル IP アドレスのペアが割り振られます。1 つは関連 Cloud Router のインターフェース用(
cloudRouterIpAddress
)で、もう 1 つはオンプレミス ルーターのポートチャネルのサブインターフェース用であり、ポートチャネル自体(customerRouterIpAddress
)ではありません。 - アタッチメントのパフォーマンスをテストする場合は、Cloud Router に ping しないでください。代わりに、VPC ネットワークに VM を作成して、それを使用してください。詳細については、パフォーマンス テストをご覧ください。
Partner Interconnect 接続ポートの光強度の損失
ポートの光強度が失われると、次のいずれかの問題が発生することがあります。
- レイヤ 3 接続が切断される(BGP セッションが失われる)か、Google Cloud VM インスタンスにアクセスできない。
- リンクバンドルのパフォーマンスが低下する。この問題は、複数の 10GE ポートがバンドルされ、バンドル内の一部のリンクのみが機能している場合に発生します。
ポートの光強度が失われた場合、ハードウェアが相手側からの信号を検出できません。原因としては次のいずれかが考えられます。
- トランシーバの障害
- トランスポート システムの障害
- 物理的なファイバーに関する問題
この問題を解決するには、Partner Interconnect または回線のプロバイダにお問い合わせください。プロバイダは次の手順を行います。
- トランシーバが機能していることを確認します。
- Meet-Me Room(MMR)にハードループを実行して、デバイスの光レベルが期待どおりに機能しているかどうかを確認します。
- 問題がプロバイダ側にあるのか、Google 側にあるのかを確認します。インターフェースを分離する最善の方法は、デマークに双方向ループを配置することです。各側のインターフェースからデマークに光が届き、デマークからループバックされます。光を送信しないデマークのある側に障害が発生しています。
- その側のファイバーを清掃し、元に戻します。
L3 Partner Interconnect 接続を介して MED 値を送信して学習できない
レイヤ 3 サービス プロバイダが BGP を処理する Partner Interconnect 接続を使用している場合、Cloud Router がオンプレミス ルーターから MED 値を学習することや、そのルーターに MED 値を送信することはできません。これは、MED 値が自律システムを通過できないためです。このタイプの接続では、Cloud Router からアドバタイズされたルートのルート優先度をオンプレミス ルーターに設定することはできません。また、オンプレミス ルーターによってアドバタイズされるルートの優先順位を VPC ネットワークに設定することはできません。
アタッチメントのスタックタイプをデュアル スタックに変更した後、IPv6 トラフィックが機能しなくなる
Cloud Router のステータスを表示し、
status: UP
が表示されていることを確認します。BGP が稼働していない場合は、次の操作を行います。
オンプレミス ルーター(レイヤ 3 パートナーを使用している場合はパートナーのルーター)が IPv6 BGP セッションで構成され、セッションが正しい IPv6 アドレスを使用していることを確認します。
BGP セッション構成を表示し、
bgpPeers.enable
に Cloud Router の'TRUE'
が表示されていることを確認します。
BGP が稼働している場合は、Cloud Router のルートを表示して、想定される IPv6
best_routes
が表示されていることを確認します。想定した
best_routes
が表示されない場合は、オンプレミス ルーター(レイヤ 3 パートナーを使用している場合はパートナーのルーター)が正しい IPv6 ルートで構成されていることを確認します。
その他の問題
さらにサポートが必要な場合は、サービス プロバイダにお問い合わせください。必要に応じて、サービス プロバイダは Google 側のネットワークに関連する問題を解決するために Google に連絡します。
Cloud Interconnect を介した HA VPN
Cloud Interconnect を介した HA VPN をデプロイするときに、次の 2 つのオペレーション階層が作成されます。
- Cloud Interconnect 階層。VLAN アタッチメントと、Cloud Interconnect 用の Cloud Router が含まれます。
- HA VPN 階層。HA VPN ゲートウェイとトンネル、HA VPN 用の Cloud Router が含まれます。
各階層には独自の Cloud Router が必要です。
- Cloud Interconnect 用の Cloud Router は、VLAN アタッチメント間で VPN ゲートウェイ プレフィックスを交換するためにのみ使用されます。この Cloud Router は、Cloud Interconnect 階層の VLAN アタッチメントでのみ使用されます。HA VPN 階層では使用できません。
- HA VPN 用の Cloud Router は、VPC ネットワークとオンプレミス ネットワークの間でプレフィックスを交換します。HA VPN 用の Cloud Router とその BGP セッションは、通常の HA VPN デプロイと同じ方法で構成します。
HA VPN 階層は、Cloud Interconnect 階層の上に構築されます。そのため、HA VPN 階層では、Dedicated Interconnect または Partner Interconnect に基づく Cloud Interconnect 階層を適切に構成して運用する必要があります。
Cloud Interconnect を介した HA VPN のデプロイのトラブルシューティングを行うには、まず Cloud Interconnect 階層のトラブルシューティングを行います。Cloud Interconnect が正常に機能していることを確認したら、HA VPN 階層のトラブルシューティングを行います。
暗号化された VLAN アタッチメントを作成できない
暗号化された VLAN アタッチメントの作成が失敗し、次のエラー メッセージが表示されます。
Cannot create an interconnect attachment with IPSEC encryption. IPSEC encryption can only be used with a provisioned interconnect attachments that have Dataplane version 2.
この問題の解決手順は次のとおりです。
Dataplane v2 でのアタッチメントの作成をサポートしているリージョンについては、すべてのコロケーション施設の表をご覧ください。
リージョンがリストにない場合は、サポートされているリージョンにアタッチメントを再作成します。
Cloud Interconnect の Cloud Router と BGP セッションを確立できない
VLAN アタッチメントに関連付けられた BGP セッションが停止しているかどうかを確認するには、次のコマンドを実行します。
gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
INTERCONNECT_ROUTER_NAME
は、Cloud Interconnect を介した HA VPN デプロイメントの Cloud Interconnect 階層用に作成した Cloud Router の名前に置き換えます。
この問題の解決手順は次のとおりです。
- 接続のテストと診断情報を取得するの手順に沿って、基盤となる Cloud Interconnect 接続が正常に機能していることを確認します。
- BGP セッション インターフェースが正しいアタッチメントを参照していることを確認します。
- Cloud Router とオンプレミス ルーターの両方で、BGP セッション インターフェースに構成されている IP アドレスを確認します。
- Cloud Router とオンプレミス ルーターの両方で、ASN 番号が正しく構成されていることを確認します。
- Cloud Interconnect 接続と VLAN アタッチメントが
admin-enabled
状態になっていることを確認します。
HA VPN トンネルを確立できない
トンネルの状態を確認するには、次のコマンドを実行します。
gcloud compute vpn-tunnels describe VPN_TUNNEL_NAME
VPN_TUNNEL_NAME
は、HA VPN トンネルの名前に置き換えます。
この問題の解決手順は次のとおりです。
- VPN トンネルは VLAN アタッチメント経由でルーティングされるため、VLAN アタッチメントに関連付けられた BGP セッションが確立されていることを確認します。確立していない場合は、Cloud Interconnect 用の Cloud Router に BGP セッションを確立できないをご覧ください。
- Cloud VPN ゲートウェイとオンプレミス VPN ゲートウェイの両方で、トンネルの PSK と暗号が正しく構成されていることを確認します。
- オンプレミス ルーターの BGP 通知にオンプレミス VPN ゲートウェイ アドレスが含まれていることを確認します。含まれていない場合は、アドレスをアドバタイズするように、オンプレミス ルーターの BGP 構成を調整します。
- 既存の BGP ルートとの競合でオンプレミス VPN ゲートウェイへのルートがドロップされていないことを確認します。競合がある場合は、VPN ゲートウェイのアドレスまたはアドバタイズされたルートを調整します。
Cloud Router からの BGP 通知に HA VPN ゲートウェイ アドレスが含まれていることを確認します。これを確認するには、オンプレミス ルーターまたは BGP ピアの
advertisedRoutes
フィールドを調べます。advertisedRoutes
フィールドを表示するには、次のコマンドを実行します。gcloud compute routers get-status INTERCONNECT_ROUTER_NAME
INTERCONNECT_ROUTER_NAME
は、Cloud Interconnect を介した HA VPN デプロイメントの Cloud Interconnect 階層用に作成した Cloud Router の名前に置き換えます。HA VPN ゲートウェイ アドレスがアドバタイズされていない場合は、VLAN アタッチメントが暗号化された Cloud Interconnect ルーターに関連付けられていることを確認します。各 VLAN アタッチメントに、想定されるリージョン内部 IPv4 アドレス(
--ipsec-internal-addresses
)が構成されていることを確認します。
HA VPN 用の Cloud Router と BGP セッションを確立できない
VLAN アタッチメントに関連付けられた BGP セッションが停止しているかどうかを確認するには、次のコマンドを実行します。
gcloud compute routers get-status VPN_ROUTER_NAME
VPN_ROUTER_NAME
は、Cloud Interconnect を介した HA VPN デプロイメントの HA VPN 階層用に作成した Cloud Router の名前に置き換えます。
この問題の解決手順は次のとおりです。
- BGP トラフィックが VPN トンネル経由でルーティングされるため、VPN トンネルが確立されていることを確認します。確立していない場合は、HA VPN トンネルを確立できないの手順に沿って操作します。
- Cloud Router の BGP セッション インターフェースが正しい VPN トンネルを参照していることを確認します。
- Cloud Router とオンプレミス VPN デバイスの両方で、BGP セッション インターフェースの IP アドレスが正しく構成されていることを確認します。
- Cloud Router とオンプレミス ルーターの両方で、ASN 番号が正しく構成されていることを確認します。
VPC トラフィックがオンプレミス ネットワークに到達しない(またはその逆)
ping
や iperf
などの VM から生成されたトラフィックがオンプレミス ネットワークに到達できないか、オンプレミス ネットワークが VM から生成されたトラフィックに到達できません。
この問題の解決手順は次のとおりです。
VM トラフィックは VPN トンネル経由でルーティングされるため、VM から VPN トンネルへのルートが Cloud Router によって送信されていることを確認します。
HA VPN 用の Cloud Router セッションが確立されていることを確認します。確立されていない場合は、HA VPN 用 Cloud Router と BGP セッションを確立できないをご覧ください。
パケットロスまたは低スループット
VPC ネットワーク上の VM からオンプレミス ネットワークへのトラフィック、またはオンプレミス ネットワークから VPC ネットワークへのトラフィックがドロップされます。
ping
、iperf
などのネットワーク モニタリング ツールで、パケットロスやスループットの低下が確認されています。
この問題の解決手順は次のとおりです。
- VLAN アタッチメントがトラフィックで過負荷状態になっているかどうかを確認します。その場合は、トラフィックをより多くの VLAN アタッチメントに分散するか、アタッチメントの容量を更新します。
- HA VPN がトラフィックで過負荷状態になっているかどうか確認します。その場合は、VLAN アタッチメント上に追加の VPN トンネルを作成して、トラフィックを再分配します。
- トラフィックが予想外に急増していないことを確認します。TCP ストリームは、急増した UDP トラフィックなど、他のストリームの影響を受ける可能性があります。
- トンネル MTU を超えるパケットが断片化されているかどうかを確認します。VLAN アタッチメントで MTU が正しく設定され、UDP トラフィックが MSS クランプされていないことを確認します。
BANDWIDTH_THROTTLE
が原因で VLAN アタッチメントの指標が減少する
接続をモニタリングするときに VLAN アタッチメントの指標を表示すると、BANDWIDTH_THROTTLE
が原因で減少することがあります。これは、アタッチメントを介してトラフィックが送信されるレートが高すぎるために、一部のトラフィックがスロットリングされる場合に発生します。
ただし、対応する上り(内向き)と下り(外向き)の使用率グラフを表示しても、トラフィックの急増は表示されません。これは、指標が 60 秒のサンプリング間隔で取得されるため、短時間のトラフィックの急増やバーストがマスクされる可能性があるためです。
この問題に対処するには、このアタッチメントの使用量を減らすか、アタッチメントの容量を増やすか、複数の VLAN アタッチメントを利用します。
暗号化された VLAN アタッチメントを削除できない
Dedicated Interconnect または Partner Interconnect で暗号化された VLAN アタッチメントを削除しようとすると、次のエラーが発生します。
ResourceInUseByAnotherResourceException
この問題を解決するには、まず、暗号化された VLAN アタッチメントに関連付けられているすべての HA VPN ゲートウェイとトンネルが削除されていることを確認します。詳細については、Cloud Interconnect を介した HA VPN を削除するをご覧ください。
暗号化された VLAN アタッチメント間で IP アドレスの種類が一致しない
Cloud Interconnect を介した HA VPN デプロイメントで使用する HA VPN ゲートウェイを作成しようとすると、次のエラーが発生します。
One of the VLAN attachments has private IP address type, while the other one has public IP address type; they must have same IP address type.
このエラーは、HA VPN ゲートウェイに暗号化された 2 つの VLAN アタッチメントを指定し、これらのアタッチメントに HA VPN トンネル インターフェースと異なる IP アドレス スキームが使用されている場合に発生します。IP アドレスタイプは、両方の VLAN アタッチメントで一致している必要があります。
VPN ゲートウェイを作成するときに、プライベート IP アドレスを使用する VLAN アタッチメントを 2 つ指定するか、パブリック IP アドレスを使用する VLAN アタッチメントを 2 つ指定します。VPN ゲートウェイの作成時にこのエラーが発生した場合は、正しいアドレスタイプを使用して VLAN アタッチメントを再作成してください。
HA VPN ゲートウェイ インターフェースに VLAN アタッチメントがない
Cloud Interconnect を介した HA VPN にデプロイする場合、HA VPN ゲートウェイの両方のインターフェースに、暗号化された VLAN アタッチメントを指定する必要があります。
VLAN アタッチメントを 1 つだけ指定すると、次のエラーが表示されます。
VPN Gateway should have VLAN attachment specified in both interfaces or in none.
この問題を解決するには、HA VPN ゲートウェイを作成し、2 つの VLAN アタッチメントを指定します。
無効な VLAN アタッチメント タイプ
暗号化された VLAN アタッチメントのタイプは、DEDICATED
または PARTNER
にする必要があります。
暗号化された VLAN アタッチメントに無効なタイプを指定すると、次のエラー メッセージが表示されます。
VLAN attachment should have type DEDICATED or PARTNER.
この問題を解決するには、暗号化された VLAN アタッチメントを DEDICATED
または PARTNER
形式で作成します。
VLAN アタッチメントの MTU 値が間違っている
Dedicated Interconnect 用に暗号化された VLAN アタッチメントを作成すると、次のエラー メッセージが表示されます。
Wrong MTU value [mtuValue] for VLAN attachment. The supported MTU for IPsec packets for HA VPN over Cloud Interconnect is 1440.
この問題を解決するには、正しい値 1440
(デフォルト値)を使用してアタッチメントを再作成します。
VLAN アタッチメントのタイプが異なる
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
VLAN attachments should both have same type DEDICATED or PARTNER. But found one DEDICATED and one PARTNER.
この問題を解決するには、同じタイプ(DEDICATED
または PARTNER
)の VLAN アタッチメントを 2 つ指定します。
専用の VLAN アタッチメントが同じ大都市圏にない
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
Dedicated VLAN attachments should be in the same metropolitan area.
この問題を解決するには、同じ大都市圏内に、Dedicated Interconnect 用に暗号化された VLAN アタッチメントを 2 つ作成します。
HA VPN ゲートウェイが VLAN アタッチメントと同じネットワークにない
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
VPN Gateway should be in the same network as VLAN attachment. VLAN attachment network: [networkName], VPN gateway network: [networkName]
この問題を解決するには、暗号化された VLAN アタッチメントと同じネットワークに HA VPN ゲートウェイを作成します。
VLAN アタッチメントの暗号化タイプが正しくない
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
Wrong encryption type for VLAN attachment [interconnectAttachmentName], required IPSEC.
この問題を解決するには、暗号化タイプ IPSEC
で構成されている暗号化された VLAN アタッチメントのみを指定します。必要に応じて、暗号化された VLAN アタッチメントを作成します。
VLAN アタッチメント ゾーンが interfaceId と一致しない
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
VLAN attachment zone should match interfaceId: interface 0 - zone1, interface 1 - zone2, but found interface [interfaceId] - [zone] for [interconnectAttachmentName].
最初の HA VPN ゲートウェイ インターフェース(interface 0
)は、ゾーン 1 の暗号化された VLAN アタッチメントと一致する必要があります。2 番目のインターフェース(interface 1
)は、ゾーン 2 の暗号化された VLAN アタッチメントと一致する必要があります。
この問題を解決するには、HA VPN ゲートウェイ インターフェースに正しいゾーンの暗号化された VLAN アタッチメントを指定します。
VPN ゲートウェイが VLAN アタッチメントと同じリージョンにない
HA VPN ゲートウェイ インターフェースに暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
VPN Gateway should be in the same region as VLAN attachment. VLAN attachment region: [region], VPN gateway region: [region].
この問題を解決するには、同じリージョンに HA VPN ゲートウェイと暗号化された VLAN アタッチメントを作成します。
パートナーの VLAN アタッチメントがアクティブな状態でない
HA VPN ゲートウェイ インターフェースの Partner Interconnect に暗号化された VLAN アタッチメントを指定すると、次のエラー メッセージが表示されます。
Interconnect Attachments [name] must be in active state.
Partner Interconnect の VLAN アタッチメントは、HA VPN ゲートウェイ インターフェースに関連付ける前に有効にする必要があります。
詳細については、接続を有効にするをご覧ください。
VLAN アタッチメントに指定されている Cloud Router のタイプが正しくない
暗号化された VLAN アタッチメントを作成しようとすると、次のエラー メッセージが表示されます。
Router must be an encrypted interconnect router.
この問題を解決するには、--encrypted-interconnect-router
フラグを使用して Cloud Router を作成します。この Cloud Router は、Cloud Interconnect を介した HA VPN 専用です。
次に、暗号化された VLAN アタッチメントを作成し、暗号化された Cloud Router を指定します。
クラウド間相互接続
このセクションでは、Cross-Cloud Interconnect で発生する可能性のある問題について説明します。
Google は、他のクラウド サービス プロバイダのネットワークに到達するまでの接続をサポートします。Google は、他のクラウド サービス プロバイダの稼働率を保証しません。また、ユーザーに代わってサポート チケットを作成することもできません。ただし、お客様の許可があれば、Google Cloud サポートが他のクラウド プロバイダのサポートチームと直接連絡を取り、問題を迅速に解決できます。
冗長ポート間の不一致
Cross-Cloud Interconnect ポートを注文したら、ポートをリモート クラウド ポートに接続する方法に関する情報を Google に提供します。この情報は、後でリソースを構成するときにも使用します。接続に問題がある場合は、正しい接続の詳細を使用していない可能性があります。
たとえば、次のような手順が考えられます。
gcp-1
をazure-1
に接続する。gcp-2
をazure-2
に接続する。
ただし、リソースを構成するときに、次のようにポートが接続されているとします。
gcp-1
をazure-2
に接続する。gcp-2
をazure-1
に接続する。
この状態は、ARP キャッシュを調べることで検出できる場合があります。より簡単な解決策は、リモート クラウドに移動して、2 つの BGP ピアに割り当てられた IP アドレス範囲を入れ替えることです。
たとえば、azure-1
に 169.254.0.2 での VLAN アタッチメント ピアリングがあり、azure-2
に 169.254.99.2 での VLAN アタッチメント ピアリングがあるとします。IP アドレス範囲を入れ替えて、azure-1
アタッチメントが 169.254.99.2 を使用し、azure-2
アタッチメントが 169.254.0.2 を使用するようにします。
各ポートで異なる VLAN ID を使用した場合は、アタッチメントで使用されている VLAN ID も入れ替える必要があります。Azure の場合、アタッチメントごとに両方のポートで同じ VLAN ID を使用する必要があるため、このシナリオは不可能です。
VLAN ID
接続の問題が VLAN ID 値の誤りに起因することがあります。VLAN ID は、Cross-Cloud Interconnect VLAN アタッチメントのフィールドです。
Azure
Azure では、VLAN ID をペアの両方のポートに同じように割り当てる必要があります。VLAN アタッチメントを作成するときに、Google Cloud コンソールでこの要件が適用されます。ただし、Google Cloud CLI または API を使用してアタッチメントを設定した場合、異なる VLAN ID が割り当てられることがあります。アタッチメントの作成時に VLAN ID が自動的に割り当てられるようにしている場合、この問題が起きるリスクが特に高くなります。ID を明示的に設定しない場合、ID は自動的に割り当てられます。
AWS
AWS に接続する場合は、VLAN ID の自動割り当てを使用しても構いません。ただし、AWS リソースを構成する場合は、Google Cloud が自動的に割り当てた VLAN ID と一致するように VLAN ID を手動で構成する必要があります。また、各ポートで使用する VLAN ID を混同しないことが重要です。ポートに誤った VLAN ID が構成されている場合、仮想ルーターは通信できません。
接続を確認する
まだ確認していない場合は、次の手順で Google Cloud とリモート クラウド ネットワーク間の接続を確認します。